Industria de Tarjetas de Pago (PCI) Estándar para Seguridad de Datos (DSS)
Introducción y descripción general de las normas en seguridad de datos de PCI
Las normas para seguridad de datos en la industria de tarjetas de pago (PCI DSS), se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta, y facilitar la adopción de medidas uniformes en seguridad a nivel mundial. PCI DSS proporciona una referencia de los requisitos técnicos y operativos desarrollados para proteger los datos de las cuentas. PCI DSS se aplica a todas las entidades quienes participan en el procesamiento de las tarjetas de pago, entre las cuales se incluyen comerciantes, procesadores, adquirientes, entidades emisoras, y proveedores de servicios. PCI DSS se aplica a todas las entidades quienes almacenan, procesan, o transmiten datos del titular de la tarjeta (CHD) y/o datos confidenciales para autenticación (SAD). “En la siguiente imagen se encontrará una descripción general de los doce requisitos de la DSS de PCI”.
Este documento, Requisitos para la seguridad de datos de PCI y procesamientos para evaluación de la seguridad, combina 12 requisitos de las PCI DSS, y los procedimientos de prueba correspondientes en una herramienta para evaluación de seguridad. Se desarrolló para utilizarse durante las evaluaciones para cumplimiento con las PCI DSS, como parte del proceso de validación de una entidad. Las siguientes secciones proporcionan directrices detalladas y mejores prácticas para ayudar a las entidades estar preparadas para realizar una evaluación de las PCI DSS, y comunicar sus resultados.
PCI DSS comprende un conjunto mínimo de requisitos para proteger los datos de cuentas, y se puede mejorar por medio de controles y prácticas adicionales, con el propósito de mitigar los riesgos, así como leyes y regulaciones locales, regionales, y sectoriales. Además los requisitos de la legislación o las regulaciones pueden requerir la protección específica de la información relacionada con identificación personal, u otros elementos de datos (por ejemplo el nombre del titular de la tarjeta). PCI DSS no sustituyen las leyes locales ni regionales, las regulaciones del gobierno, ni otros requerimientos legales.
Recursos de PCI DSS
El sitio web de PCI SSC contiene algunos recursos adicionales para ayudar a las organizaciones con las evaluaciones y validaciones de la PCI DSS, entre otros.
Fuentes:
https://www.pcisecuritystandards.org
https://www.pcisecuritystandards.org/document_library
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero
